На прошлой неделе компания «Доктор Веб» сообщила об обнаружении ботнета Flashback (Flashfake), состоящего из машин с операционной системой Mac OS X. По данным компании, в состав ботнета входит более полумиллиона зараженных компьютеров Mac. Сегодня "Лаборатория Касперского" откликнулись на это сообщение анализом новейшего варианта бота — Trojan-Downloader.OSX.Flashfake.ab. Бот распространяется через зараженные вебсайты в виде Java-апплета, выдаваемого за обновление для Adobe Flash Player. Java-апплет запускает на выполнение загрузчик первого уровня, который загружает и устанавливает основной компонент троянской программы. Основной компонент представляет собой троянец-загрузчик, который постоянно соединяется с одним из командных (C&C) серверов и ожидает команд на загрузку и выполнение новых компонентов. Бот находит свои C&C серверы по доменным именам, которые генерируются с помощью двух алгоритмов. Первый алгоритм основан на текущей дате, второй использует несколько переменных, которые хранятся в теле бота в зашифрованном виде. Шифрование основано на алгоритме RC4 и использует UUID (уникальный идентификатор компьютера) в качестве ключа.

Финский антивирусный вендор F-Secure сегодня предупредил о новой Java-уязвимости, угрожающей пользователям продуктов компании Apple. Согласно данным F-Secure, компьютеры Mac, работающие под управлением последней Mac OS X могут заразиться известным вредоносным программным обеспечением Flashback, однако в данном случае речь идет о новой версии Flashback. Напомним, что Flashback - это Mac-троянец, впервые обнаруженный в сентябре 2011 года. Первые варианты этого кода были представлены как инсталляторы Flash Player (естественно, поддельные), но сейчас этот троянец сменил обличие, а также функционал и методы распространения. В феврале несколько антивирусных компаний сообщили о распространении нового вида Flashback при помощи Java-эксплоитов, что означает отсутствие необходимости взаимодействия с пользователем. Использованные Java-уязвимости были датированы 2009-11 годами, поэтому пользователи с последними версиями Java были защищены от воздействия вредоносного кода...

Антивирусная компания Symantec сообщила, что уже около месяца в сети группа мошенников распространяет хакерский набор для проведения DDOS-атак, в котором присутствует банковский троянец Zeus. Речь идет о версии программы Slowloris, используемой группировкой Anonymous для проведения хакерских атак на различные сайты в интернете. В результате использовать Slowloris с троянцем многие сочувствующие Anonymous пользователи, предоставлявшие ресурсы своих компьютеров для атак на сайты Минобороны США, Universal Music, Visa и других, рискуют получить вдобавок к программе для DDOS-атак еще и троянца.

Компания «Доктор Веб» сегодня сообщила о появлении нового бэкдора для мобильной операционной системы Android. Android.Anzhu позволяет выполнять различные директивы, поступающие от удаленного командного центра злоумышленников, устанавливать без ведома пользователя другие приложения и изменять закладки браузера.

Определение ОС компьютера пользователя и выдача ему соответствующего контента сегодня уже не диковинка интернет-технологий. Этим механизмом давно пользуются и вирусописатели. Но платформа Apple MAC OS в этом механизме используется довольно редко, однако антивирусные эксперты «Лаборатории Касперского» говорят об обнаружении ранее неизвестного Java-даунлоадер, который загружал в систему зловредов в зависимости от ОС зараженного компьютера. Trojan-Downloader.Java.OpenConnection.fa был обнаружен «Лабораторией Касперского» 15 февраля. Как уже было сказано выше, троянец определяет ОС на зараженном компьютере. Если на компьютере стоит Windows, происходит загрузка Trojan-Dropper.Win32.Agent.gjtw, который несет в себе Trojan-Downloader.Win32.Agent.ujhb. Во всех случаях, отличных от Windows, в систему загружается PYTHON скрипт. Данный скрипт «Лаборатория Касперского» детектирует как Trojan-Dropper.Python.Flasfa.a...

Эксперты «Лаборатории Касперского» подготовили традиционный годовой отчет по киберугрозам - Kaspersky Security Bulletin 2011. Статистическая часть исследования сформирована на основе данных, полученных и обработанных при помощи «облачной» системы Kaspersky Security Network. Среди самых показательных цифр – степень риска заражения, которому подвергаются компьютеры при веб-серфинге в разных странах мира. Эксперты «Лаборатории Касперского» составили рейтинг самых опасных для интернет-серфинга государств, лидером которого по итогам 2011 года стала Россия: более 55% уникальных интернет-пользователей в стране подвергались веб-атакам.

Компания «Доктор Веб», российский разработчик средств информационной безопасности, сегодня сообщила об обнаружении уязвимостей, с использованием которых возможно заражение троянскими программами устройств под управлением платформы Mac OS X. Она по праву считается одной из самых надежных ОС в мире, но злоумышленникам все же удалось использовать известные уязвимости Java с целью распространения угроз для данной платформы. Первыми злоумышленниками, решившими использовать уязвимости Java для заражения компьютеров под управлением Mac OS X, оказались создатели троянской программы BackDoor.Flashback, распространяемой, как известно, через зараженные сайты. Напомним, что установщик этого вредоносного ПО обычно маскируется под программу-инсталлятор Adobe Flash Player. Пользователю Mac OS X предлагается загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg (для других ОС загрузка не выполняется). После запуска установщик пытается скачать с удаленного сайта основной модуль троянца, и, если это не удается, прекращает свою работу. Теперь злоумышленники пошли другим путем: при открытии инфицированного сайта выполняется проверка user-agent пользовательского компьютера, и, если запрос сделан из-под MacOS с определенной версией браузера, пользователю отдается веб-страница, загружающая несколько java-апплетов. Сама страница демонстрирует в окне браузера надпись «Loading.... Please wait…».

Компания Symantec сообщила об обнаружении самой крупной вредоносной кампании, направленной против пользователей операционной системы Android. По подсчетам Symantec, более 5 млн пользователей загрузили на свои мобильные устройства зараженные приложения из Google Android Market. Новый вредоносный код под названием Android.Counterclank был размещен в 13 разных приложениях от разных издателей и присутствовал в приложениях от Sexy Girls Puzzle до Counter Strike Ground Force. Согласно данным компании, по состоянию на 01:00 мск многие из зараженных приложений продолжили находиться в Android Market. "Похоже, что эти приложение не от реальных издателей. Это не пересобранные приложения и мы видели их и раньше", - говорит Кевин Хейли, директор Symantec Security Response Team.

В интернете отмечена новая сетевая атака, организаторы которой обещают переводы электронных денег на счета жертв. ИТ-компания Solera Networks сообщила о новой атаке, использующей популярные веб-эксплоиты для загрузки злонамеренного программного обеспечения по принципу drive-by. Для сокрытия местоположения атакующих сайтов, злоумышленники используют сервис сокращения гиперссылок Google goo.gl. Организаторы утверждают, что сама атака происходит, якобы, от организации Electronic Payments Association. В кампании хакеры утверждают, что некая система платежей не смогла провести в отношении пользователей операцию прямого депонирования средств. Когда же пользователь переходит по ссылке, надеясь получить более подробную информацию, то ему через браузер пытаются загрузить через Java- и Flash-эксплоиты ряд вредоносных программ. Эндрю Брандт, директор по исследованию сетевых угроз Solera Networks говорит, что обнаруженная ими атака является частью более широкой тенденции по использованию браузерных эксплоитов и компонентов сторонних, направленных на кражу пользовательских данных. "Можно сказать, что нечто подобное мы фиксируем постоянно и если суммировать все эти попытки, то получаются очень масштабные кампании", - говорит он. Также он отметил, что данная атака демонстрирует и еще одну нездоровую тенденцию - использование сервисов сокращения ссылок для маскировки вредоносных ресурсов.

Согласно данным "Лаборатории Касперского" неизвестные хакеры, стоящие за разработкой и управлением троянцем Duqu, начали заметать свои следы и стирать все данные о своей активность со всех известных на сегодня командных серверов Duqu в разных странах. Виталий Камлюк, старший аналитик "Лаборатории Касперского", говорит, что несмотря на "массивную зачистку", антивирусной компании все-таки удалось собрать ряд данных о серверной инфраструктуре Duqu.

Как вы, вероятно, знаете, многие компании, специализирующиеся на цифровой безопасности, выпускают сегодня мобильные версии своих антивирусных программ. Они же распространяют информацию о том, что число вредоносного ПО под Android постоянно увеличивается и вообще, мы все умрем. Chris DiBona, менеджер проектов open source в компании Google, считает, что разработчики антивирусов, мягко говоря, преувеличивают. В своем послании через сеть Google+ автор активно защищает ценности ПО с открытым кодом, которое, казалось бы, так и привлекает программистов-вирусописчиков, ведь каждый может подстроиться под исходники. Оказывается, далеко не каждый, и причиной тому является сам принцип построения системы, и проблема с вирусами под Android на самом деле сильно преувеличена. «Ни один мобильный телефон не встретится с проблемой вирусов в том понимании, в каком это было на машинах под управлением Windows и Mac». Мобильные платформы организованы таким образом, что приложения не получают доступа к многим ресурсам системы, и причиняемый ими ущерб локален. И установка только проверенных апплетов легко решит эту проблему. В этой связи Крис ДиБона прямым текстом назвал разработчиков антивирусного ПО для мобильных устройств «шарлатанами и кидалами». И добавил: «Если вы работаете на компанию, которая продает защиту от вирусов для Android, RIM или iOS, вам должно быть стыдно».